Сабақ тақырыбы:
Тәуекелдерді басқару
Негізгі ұғымдар
Тәуекелдерді
басқару біз АҚ-ның әкімшілік деңгейінде қарастырамыз,
өйткені тек ұйым басшылығы қажетті ресурстарды бөле алады, тиісті
бағдарламалардың орындалуын бастайды және
бақылайды.
Жалпы алғанда, тәуекелдерді
басқару, сондай-ақ өзінің қауіпсіздік саясатын әзірлеу ақпараттық
жүйелері және/немесе өңделген деректерді стандартты емес деп
санауға болатын ұйымдар үшін ғана маңызды. Кәдімгі ұйым әдеттегі
тәуекелдер туралы идея негізінде немесе тәуекелдерді талдаусыз
таңдалған қорғаныс шараларының типтік жиынтығына толығымен сәйкес
келеді (әсіресе бұл ресми тұрғыдан, біз бұрын талданған АҚ
саласындағы ресей заңнамасына сәйкес). Жеке құрылыс пен жаппай
құрылыс аймағында пәтер алу арасындағы ұқсастықты жасауға болады.
Бірінші жағдайда көптеген шешімдер қабылдау керек, көптеген
қағаздарды рәсімдеу керек, екіншісінде бірнеше параметрлерді шешу
жеткілікті. Бұл аспект Сергей Симоновтың "тәуекелдерді
талдау, тәуекелдерді басқару" мақаласында егжей-тегжейлі
қарастырылған (Jet Info, 1999, 1).
Ақпараттық жүйелерді пайдалану
белгілі бір тәуекелдер жиынтығымен байланысты. Ықтимал шығын
қолайсыз болған кезде экономикалық тұрғыдан негізделген қорғаныс
шараларын қабылдау қажет. Тәуекелдерді мерзімді (қайта) бағалау
қауіпсіздік саласындағы қызметтің тиімділігін бақылау үшін және
жағдайдың өзгеруін есепке алу үшін
қажет.
Сандық тұрғыдан алғанда,
тәуекел деңгейі белгілі бір қауіпті (кейбір осал жерлерді
пайдалану) іске асыру ықтималдығының функциясы, сондай-ақ ықтимал
залалдың мөлшері болып табылады.
Осылайша, тәуекелдерді басқару жөніндегі
іс-шаралардың мәні-олардың мөлшерін бағалау, тәуекелдерді азайтудың
тиімді және үнемді шараларын әзірлеу, содан кейін тәуекелдердің
қолайлы шеңберге қойылғанына (және солай болып қала береді) көз
жеткізу. Демек, тәуекелдерді басқару циклдік түрде ауысатын екі
қызметті қамтиды: (пере)оценка (измерение)
рисков;
*
тиімді және үнемді қорғаныс құралдарын таңдау (тәуекелдерді
бейтараптандыру ).
Анықталған тәуекелдерге қатысты келесі әрекеттер
мүмкін:
-
тәуекелді жою (мысалы, себебін жою
арқылы);
-
тәуекелді азайту (мысалы, қосымша қорғаныс
құралдарын пайдалану арқылы);
-
тәуекелді қабылдау (және тиісті жағдайларда
іс-қимыл жоспарын жасау);
-
тәуекелді қайта бағыттау (мысалы, сақтандыру
келісімін жасау арқылы).
Тәуекелдерді басқару процесін
келесі кезеңдерге бөлуге болады:
1. Талданатын объектілерді
таңдау және оларды қарастырудың егжей-тегжейлі
деңгейі.
2. Тәуекелдерді бағалау
әдістемесін таңдау.
3. Активтерді
сәйкестендіру.
4. Қауіптер мен олардың
салдарын талдау, қорғаудағы осал жерлерді
анықтау.
5. Тәуекелдерді
бағалау.
6. Қорғаныс шараларын
таңдау.
7.
Таңдалған шараларды іске асыру және
тексеру.
8.
Қалдық тәуекелді бағалау.
6
және 7 кезеңдер қорғаныс құралдарын таңдауға (тәуекелдерді
бейтараптандыруға), қалғандары тәуекелдерді бағалауға
жатады.
Сатылардың тізімі тәуекелдерді басқару
циклдік процесс екенін көрсетеді. Шын мәнінде, соңғы кезең - бұл
цикл аяқталуының операторы, басына оралуды бұйырады. Тәуекелдерді
үнемі бақылап отыру керек, оларды қайта бағалауды мезгіл-мезгіл
жүргізіп отыру керек. Мұқият орындалған және мұқият құжатталған
алғашқы бағалау кейінгі қызметті айтарлықтай жеңілдететінін
ескеріңіз.
Тәуекелдерді басқару, ақпараттық қауіпсіздік
саласындағы кез келген басқа қызмет сияқты, АЖ-ның өмірлік цикліне
интеграциялануы қажет. Содан кейін әсер ең үлкен, ал шығындар
минималды болады. Бұрын біз өмірлік циклдің бес кезеңін анықтадық.
Біз олардың әрқайсысында тәуекелдерді басқару не бере алатынын
қысқаша сипаттаймыз.
Бастамашылық кезеңінде белгілі тәуекелдерді
жалпы жүйеге және атап айтқанда қауіпсіздік құралдарына қойылатын
талаптарды әзірлеу кезінде ескеру
қажет.
Сатып алу
(әзірлеу) кезеңінде тәуекелдерді білу қауіпсіздікті қамтамасыз
етуде маңызды рөл атқаратын тиісті сәулет шешімдерін таңдауға
көмектеседі.
Орнату
кезеңінде анықталған тәуекелдерді конфигурациялау, тестілеу және
бұрын тұжырымдалған талаптарды тексеру кезінде ескеру қажет, ал
тәуекелдерді басқарудың толық циклі жүйені пайдалануға енгізуден
бұрын болуы керек.
Пайдалану
кезеңінде тәуекелдерді басқару жүйенің барлық маңызды
өзгерістерімен бірге жүруі керек.
Жүйені
пайдаланудан шығарған кезде тәуекелдерді басқару деректердің
көші-қоны қауіпсіз түрде жүретініне көз жеткізуге
көмектеседі.
Тәуекелдерді басқарудың дайындық
кезеңдері
Бұл бөлімде тәуекелдерді басқару процесінің
алғашқы үш кезеңі сипатталады.
Талданған объектілерді таңдау
және оларды қарастырудың егжей - тегжейлі деңгейі тәуекелдерді
бағалаудағы алғашқы қадам болып табылады. Шағын ұйым үшін бүкіл
ақпараттық инфрақұрылымды қарастыруға рұқсат етіледі; алайда, егер
ұйым үлкен болса, жан-жақты бағалау уақыт пен күш жұмсауды қажет
етуі мүмкін. Бұл жағдайда Сіз қорытынды бағалаудың жақындауымен
алдын-ала келісіп, ең маңызды қызметтерге назар аударуыңыз керек.
Егер маңызды қызметтер әлі де көп болса, олардың қауіптері белгілі
немесе белгісіз болып табылатындар
таңдалады.
Біз ұйымның ақпараттық
жүйесінің картасын құрудың орындылығын атап өттік. Тәуекелдерді
басқару үшін мұндай карта әсіресе маңызды, өйткені ол талдау үшін
қандай қызметтер таңдалғанын және қайсысын ескермеу керектігін
нақты көрсетеді. Егер АЖ өзгерсе және карта өзекті жағдайда
ұсталса, онда тәуекелдерді қайта бағалау кезінде қандай жаңа немесе
айтарлықтай өзгерген сервистерді қарау қажет екені бірден белгілі
болады.
Жалпы алғанда, ақпараттық жүйенің әр компоненті
осал болып табылады - тышқандар тістей алатын желілік кабельден
бастап, әкімшінің дұрыс емес әрекеттері салдарынан жойылуы мүмкін
мәліметтер базасына дейін. Әдетте, әр бұранданы және әр байтты
талдау саласына қосу мүмкін емес. Біз бағалаудың жақындығы туралы
тағы да біле отырып, белгілі бір деңгейде тоқтауымыз керек. Жаңа
жүйелер үшін егжей-тегжейлі талдау қажет; кішігірім модификациядан
өткен ескі жүйені Үстірт талдауға
болады.
Тәуекелдерді бағалаудың ақылға
қонымды әдістемесін таңдау өте маңызды. Бағалаудың мақсаты екі
сұраққа жауап беру болып табылады: бар тәуекелдер қолайлы ма, егер
жоқ болса, қандай қорғаныс құралдарын пайдалану керек. Сонымен,
бағалау сандық болуы керек, ол алдын-ала таңдалған рұқсат ету
шекараларымен және жаңа қауіпсіздік реттегіштерін іске асыру
шығындарымен салыстыруға мүмкіндік береді. Тәуекелдерді басқару-бұл
әдеттегі оңтайландыру міндеті және оны шешуге көмектесетін бірнеше
бағдарламалық өнімдер бар (кейде мұндай өнімдер ақпараттық
қауіпсіздік кітаптарына қоса беріледі). Алайда түбегейлі қиындық
бастапқы деректердің дәлсіздігінде. Сіз, әрине, барлық талданған
шамалар үшін ақшалай өрнек алуға тырысуға болады, бәрін бір тиынға
дейін есептей аласыз, бірақ бұл жерде мағынасы жоқ. Шартты
бірліктерді қолдану практикалық. В простейшем және әбден рұқсат
етілген жағдайда пайдалануға болады трехбалльной шкаласы. Әрі
қарай, біз мұның қалай жасалғанын
көрсетеміз.
Активтерді, яғни ұйым қорғауға
тырысатын ресурстар мен құндылықтарды анықтау кезінде, әрине,
ақпараттық жүйенің компоненттерін ғана емес, сонымен қатар қолдау
көрсететін инфрақұрылымды, қызметкерлерді, сондай-ақ ұйымның беделі
сияқты материалдық емес құндылықтарды да ескеру қажет. Мұндағы
бастапқы нүкте-бұл ұйымның миссиясы туралы түсінік, яғни кез-келген
жағдайда сақтау қажет (немесе қажет) негізгі қызмет бағыттары.
Нысанға бағытталған тілмен айтқанда, ең алдымен абстрактілі объект
ретінде қарастырылатын ұйымның сыртқы интерфейсін сипаттау
керек.
Активтерді сәйкестендіру
процесінің негізгі нәтижелерінің бірі-ұйымның егжей-тегжейлі
ақпараттық құрылымын және оны (құрылымын) пайдалану тәсілдерін алу.
Бұл ақпаратты IC картасына тиісті объектілердің беттері ретінде
қолданған жөн.
Кез-келген ірі ұйымның
ақпараттық негізі-бұл желі, сондықтан аппараттық активтер қатарына
компьютерлер (серверлер, жұмыс станциялары, компьютерлер),
перифериялық құрылғылар, сыртқы интерфейстер, кабельдік экономика,
белсенді желілік жабдықтар (көпірлер, маршрутизаторлар және т.б.)
кіруі керек. Бағдарламалық активтерге операциялық жүйелер (желілік,
серверлік және клиенттік), қолданбалы бағдарламалық жасақтама,
құралдар, желіні басқару және жеке жүйелер кіруі мүмкін.
Бағдарламалық жасақтама қай жерде (желінің қандай түйіндерінде)
сақталатынын және ол қандай түйіндерде қолданылатынын бекіту
маңызды. Ақпараттық активтердің үшінші түрі-желі арқылы сақталатын,
өңделетін және берілетін деректер. Деректерді типтері мен
құпиялылық дәрежесі бойынша жіктеу, оларды сақтау және өңдеу
орындарын, оларға қол жеткізу тәсілдерін анықтау
қажет. Мұның бәрі ақпараттық қауіпсіздікті бұзу салдарын
бағалау үшін маңызды.
Тәуекелдерді басқару-бұл сызықтық процесс емес.
Оның барлық дерлік кезеңдері бір-бірімен байланысты және олардың
кез-келгені аяқталғаннан кейін алдыңғыға оралу қажеттілігі туындауы
мүмкін. Сонымен, активтерді анықтау кезінде таңдалған талдау
шекараларын кеңейту керек, ал егжей - тегжейлі дәрежесін арттыру
керек. Бастапқы талдау әсіресе басына бірнеше рет оралу мүмкін
болмаған кезде қиын.